Los expertos en seguridad no usan redes en sus smartphones

Según la abogada experta en protección de datos, Paloma Llaneza, WhatsApp encabeza cada año los rankings de las apps más descargadas del mercado. No tener instalada esta aplicación de mensajería instantánea en el siglo XXI puede parecer una auténtica proeza, pero es posible. Paloma Llaneza la tenía descargada. Pero la desinstaló el día que Facebook compró la app. Lo tenía claro: la compañía de Mark Zuckerberg quería sus datos. Por este mismo motivo, tampoco tiene Facebook ni Instagram. “No se puede poner todo el riesgo económico o toda tu vida en un dispositivo, ni en manos de entidades que ni sabes dónde están, ni qué van a hacer con los datos que consciente, inconscientemente o de manera pasiva les estás facilitando”, sostiene Llaneza, que además de abogada experta en protección de datos es autora de Datanomics, un libro en el que explica qué hacen las empresas tecnológicas con los datos personales de los usuarios.

Llaneza, al igual que la mayoría de los expertos consultados, tiene un iPhone porque considera que el sistema operativo iOS garantiza mejor la privacidad. Actualmente tiene solo 15 aplicaciones en su smartphone, sin contar las que vienen por defecto con iOS que no usa pero no puede borrar y las que sí usa como el calendario, el programa de correo, los mensajes y la cámara. ¿Para qué las utiliza? “Fundamentalmente para trabajar, una mínima supervivencia y algún capricho”, explica. Por ejemplo, tiene la app de transporte EMT Madrid, “para dejar de pasar frío o calor en las paradas de autobús”; Mega, “para cargar información no crítica y no sujeta a confidencialidad porque sube la información cifrada”; G2M, Webex y Skype, para las reuniones telefónicas; y Genius scan, “para escanear documentos no confidenciales”. También cuenta con Google Maps, pero no se loguea y no permite el acceso a la localización, y está pensando en desinstalar Cabify: “La última versión exige acceder a la geolocalización y me niego”. Y para informarse en tiempo real, utiliza Twitter, app a la que define como su “gran placer culpable”.

De hecho, Llaneza se niega a instalar redes sociales. Tampoco descarga juegos, apps gratuitas que no sabe de quiénes son o fabricadas por empresas chinas, aplicaciones bancarias ni servicios de mensajería instantánea. En su lugar, utiliza los clásicos SMS. Además, nunca usa el reconocimiento biométrico ni permite que las aplicaciones accedan a nada que no esté basado en el principio de “necesidad de saber”: “Me cuesta entender que se dé acceso a un micrófono por no tener que teclear un texto”.

Narseo Vallina-Rodríguez. Investigador de Imdea Networks

Aparte de las aplicaciones preinstaladas en el iPhone, Narseo Vallina-Rodríguez solo cuenta con dos más: “Spotify, para escuchar música, y WhatsApp, muy a mi pesar, para comunicarme con amigos”. “No instalo apps por norma general por el coste que suponen a mi privacidad”, explica el investigador de Imdea Networks y del Instituto Internacional de Ciencias Computacionales (ICSI) de la Universidad de Berkeley. Por ejemplo, jamás ha descargado una aplicación bancaria. Además, de forma general no otorga permisos a las aplicaciones. Solo para que muestren notificaciones y se ejecuten en el fondo. El resto de permisos los activa por demanda —por ejemplo, para compartir su posición en un momento dado— y los desactiva inmediatamente después. De esta forma, pretende limitar el acceso a los datos por parte de las apps.

Pese a ello, subraya que el modelo de permisos de Android e iOS no es perfecto. Él mismo ha participado en investigaciones al respecto: “Existen apps que encuentran y abusan de vulnerabilidades en el sistema operativo para acceder a datos protegidos como nuestra posición sin consentimiento, es decir, sin tener que solicitar el permiso”. El experto recomienda “minimizar el uso de apps y páginas webs que visitamos a las estrictamente necesarias y siempre reduciendo el número de permisos”.

“Nuestra sociedad tiene que ser más consciente de que nuestros datos pueden ser utilizados para fines que hoy en día desconocemos. Hace 10 años nadie se imaginaba que una empresa como Cambridge Analytica pudiese influir en nuestro voto y hacer perfiles psicológicos de los usuarios. Por tanto, la falta de privacidad puede tener consecuencias también en seguridad nacional, algo que parece que aún no se ha trasladado en compromisos y acciones políticas”, afirma.

Alfonso Muñoz. Laboratorio de seguridad de BBVA Next Technologies

Alfonso Muñoz tapa las cámaras de su móvil con un post-it. Y cuando no habla por teléfono, conecta un pequeño aparato a la salida de los auriculares que bloquea el micrófono. Para él, estas son las dos medidas fundamentales para proteger la privacidad.

De hecho, a diferencia de los expertos consultados, cuenta con aproximadamente 40 aplicaciones en su teléfono: desde apps de banca, consulta de facturas de gas y luz o mensajería instantánea como WhatsApp, Telegram o Signal, a redes sociales como Linkedin y Twitter, aplicaciones de música como Spotify y Shazam, periódicos y aplicaciones de televisión a la carta.

“Intento tener a raya los permisos que usan las aplicaciones y controlar que ninguna aplicación use ningún permiso que no deba”, afirma. Por ejemplo, no descargaría una linterna que pidiese acceder a los contactos. Además, sigue la “política de menor exposición”, por la que solo activa wifi, Bluetooth y GPS cuando en realidad lo necesita, y usa herramientas de navegación privada como Tor Browser. También recomienda evitar en la medida de lo posible el uso de Facebook, Instagram y WhatsApp: “Son máquinas en contra de la privacidad”.

Pilar Vila Avendaño. Perito informático y analista forense

Pilar Vila tiene varios móviles: el privado, el de trabajo y otros para realizar pruebas. Es analista forense y explica así por qué tiene tantos dispositivos: “Nunca hagas pruebas en tus propios teléfonos ni los conectes a las mismas redes. Trata cada cosa para lo que es, el móvil de trabajo solo para temas laborales, el privado solo para temas personales y los de pruebas para cacharrear”.

En los que usa en su día a día, tiene las cámaras tapadas con pegatinas. Distingue bien las cuentas de correo que abre en cada uno de ellos y las apps que instala. “Además, desde que Android lo permite cifro mis terminales, utilizo contraseñas fuertes de mínimo 12 caracteres lo más extraños posibles incluyendo la ñ y también uso la huella”, afirma Vila, que también es miembro del Grupo de Seguridad Informática y para la Defensa del Consejo de Colegios de Ingeniería Informática y consejero delegado en Forensic & Security Y DFTools.

En su móvil personal, tiene un antivirus y solo usa WhatsApp y Telegram. Hace hincapié en que no tiene activado ningún sistema de pago como Google Pay. Pese a que le gusta comprar por Internet, nunca se descarga apps para hacerlo. En su lugar, utiliza directamente las webs para hacer compras. En su móvil de trabajo, cuenta con más aplicaciones. Entre ellas, servicios de mensajería como WhatsApp, Telegram y Signal; redes sociales como Linkedin y Twitter; y otras aplicaciones “inevitables” a la hora de viajar como Iberia, AirEuropa o Cabify. En este terminal también tiene un antivirus y una VPN (red privada virtual) configurada para conectarse a determinados sitios.

José Antonio Ramos Ferrer. Responsable de sistemas en el Grupo Mazo

José Antonio Ramos Ferrer evita conectarse a wifis públicas como las de cibercafés, supermercados o cafeterías. En caso de no tener más remedio, evita conectarse a páginas importantes, no se loguea con sus contraseñas en ningún servicio y jamás se le ocurriría realizar operaciones del banco. Además, tiene desactivado el Bluetooth por defecto y lo activa cuando tiene que usarlo: “Puede ser una entrada a tu móvil desde el exterior”.

También considera importante cambiar el pin del móvil aproximadamente cada seis meses y recomienda modificar el patrón de seguridad una vez al mes: “Y, por favor, no utilizad la típica L, intentad poner algo más elaborado”. De la misma forma, se esfuerza por no repetir ninguna contraseña en diferentes servicios: “Es muy difícil que si me consiguen una contraseña, me tumben todas por efecto dominó, ya que las tengo todas diferentes y tendrían que hackear todas y cada una de ellas”.

Ramos, que es miembro del Grupo de Seguridad Informática y para la Defensa del CCII, cuenta con una decena de aplicaciones en su smartphone. Por ejemplo, eBay para compras y ventas, apps bancarias, servicios para visualizar contenido multimedia como YouTube o Netflix o Cookidoo, la app de la Thermomix. Afirma diferenciar en dos grupos sus aplicaciones: “Las que tengo verificadas, que sé que son seguras y utilizo habitualmente, y las aplicaciones de la tienda que podría instalar para un fin determinado”. Revisa de forma habitual los permisos que le otorga a cada una de ellas. Y cuando quiere descargar una nueva, busca información al respecto en Internet y en la propia tienda de aplicaciones: “Miro los comentarios que aparecen por si veo algo raro o alguien ha tenido una mala experiencia”.

Borja Adsuara. Abogado experto en derecho digital

Borja Adsuara reconoce tener en su móvil “demasiadas aplicaciones por razones profesionales para analizar su funcionamiento y sus términos y condiciones de uso”. Entre las que más usa, están Spotify, YouTube, Twitter, Google Maps o LinkedIn. Nunca facilita sus datos bancarios a ninguna aplicación y restringe “al máximo los permisos y las notificaciones”. Por ejemplo, solo da permiso de geolocalización a apps de movilidad y acceso a sus contactos a las de mensajería.

Además de controlar la información y los permisos que facilita a cada aplicación, desinstala periódicamente las apps que no utiliza. “Es importante tomar estas medidas por razones de higiene y prevención. Además, ocupan espacio y ralentizan el funcionamiento del móvil”, afirma. Para él, lo ideal sería que ningún usuario instale ninguna aplicación que no sea de la Unión Europea o no cumpla el Reglamento General de Protección de Datos (RGPD).

Raúl Orduna Urrutia. Director de Ciberseguridad en Vicomtech

Cada vez que Raúl Orduna instala una app en su teléfono, se asegura de que es la que realmente le interesa: “Muchas aplicaciones usan nombres similares a otras conocidas para aprovecharse de los usuarios que no prestan demasiada atención”. Entre las aplicaciones que tiene en su móvil, están Audible, de audiolibros; Box, para compartir documentos; el buscador Chrome; Spotify, para escuchar música; WhatsApp y Hangouts, para comunicarse con amigos y en el trabajo; y el antivirus Malwarebytes. “No entiendo como hay gente que instala herramientas y juegos de origen casi desconocido, incluso pagando, y evita persistentemente el uso de antivirus en ese ordenador que llevamos en el bolsillo”, afirma el también miembro del Grupo de Seguridad Informática y para la Defensa del CCII.

El experto en ciberseguridad toma otras medidas para protegerse. Evita que en la pantalla de su móvil salgan las notificaciones completas que dan detalles de los mensajes y llamadas recibidas y jamás se conecta a cualquier red wifi de la que no tenga control o una relación de confianza con sus administradores. Cuando comparte la conexión de datos de su móvil con otro dispositivo, lo intenta hacer mediante un cable USB en lugar de activando el HotSpot Wi-Fi: “Es igual de cómodo, más rápido y mucho más seguro, ya que no envías información por el aire”. Y asegura que siempre se lo piensa dos veces antes de almacenar o compartir con su móvil cualquier información sensible.

Con información de El País